@wly19960911 #5 很多年前就有例子去进行 md5 碰撞来绑木马传到各种云盘离线下载的服务器中，当时某些网盘只以 md5 作为文件唯一标识，导致很多正常下载到了病毒文件。

除了 oauth2 支付之类 不好模拟，其他其实都还好吧。。

赞，非常常见的场景，我们目前采用的就是 其他等待锁的线程去轮询获取锁，因为请求量小，所以没感觉出对系统有什么影响。有空学习下楼主的实现方式，感觉更加的优雅。

我猜楼主是说的如何绕过 android 7.0+ 以后的 SSL Pinning 吧。

比如微信 7.0 在 android 7.0+以上的版本，就会有 SSL Pinning， 只信任系统内置的证书。
"客户端在收到服务器的证书后，对该证书进行强校验，验证该证书是不是客户端承认的证书，如果不是，则直接断开连接。"

可以尝试以下几个方案：

1. xposed 及其插件 JustTrustMe (可以配合 virtualxposed)
JustTrustMe 是一个用来禁用、绕过 SSL 证书检查的基于 Xposed 模块。JustTrustMe 是将 APK 中所有用于校验 SSL 证书的 API 都进行了 Hook，从而绕过证书检查。

2. 将证书安装到系统证书中（需要 root ）
系统证书的目录是：/system/etc/security/cacerts/
每个证书的命名规则为：<Certificate_Hash>.<Number>
Certificate_Hash 表示证书文件的 hash 值，Number 是为了防止证书文件的 hash 值一致而增加的后缀;
证书的 hash 值可以由命令计算出来，在终端输入 openssl x509 -subject_hash_old -in <Certificate_File>，其中 Certificate_File 为证书路径，将证书重命名为 hash.0 放入系统证书目录，之后你就可以正常抓包了。

3. VirtualApp (最简单的)
大概的介绍，VirtualApp 是一个开源的 Android App 虚拟化引擎，允许在其中创建虚拟空间，并在这个虚拟空间中运行其他应用。
我不是很清楚这个东西的原理，看介绍感觉应该是 VirtualApp 代理运行了程序，然而代理程序后并没有带 SSL Pinning 的功能？
实际测试，VirtualApp 直接把微信 7.0 在里面运行，直接按照以前的方法就可以进行抓包。

不知道楼主在怕啥，怕流量耗完了？

估计是想保证后台接口的安全，加大非法用户调试的难度吧。。

几乎无解，加 sign 签名也只是加大别人读 js 的时间而已。

@applehater #37 互联网产品吧？ 企业产品几乎不可能的，那几千上万张表的业务，不关联很麻烦。。

无法启动报错什么？ 目录要是能够正常读写，应该是没问题的，注意下权限方面是否正常

@dxgfalcongbit #1 Expedition 是啥

@yhxx #5 别杠，如果是很简单的页面，上 React 意义何在？为了炫技？ 如果是公司只有你一个人会 React 的情况，你准备出啥问题你一个人担着？后面一直一个人写？

1. 安卓系统 7.0 以下版本，不管微信任意版本，都会信任系统提供的证书
2. 安卓系统 7.0 以上版本，微信 7.0 以下版本，微信会信任系统提供的证书
3. 安卓系统 7.0 以上版本，微信 7.0 以上版本，微信只信任它自己配置的证书列表


目前是这个规则 /..

https://www.v2ex.com/t/523488#reply0

我也遇到了这个问题。

估计微信内置了根证书信任列表，不再去读取系统的了？

修复估计非常复杂，建议想办法去把 myd 的数据提取出来，然后重建后导入。